برمجية خبيثة تستهدف أندرويد متنكرة في واتساب وتيك توك
تصل إلى صلاحيات النظام وتلتقط صوراً من الكاميرا الأمامية
كشفت تقارير أمنية متخصصة عن حملة تجسس رقمية تستهدف مستخدمي نظام أندرويد، عبر برمجية خبيثة تُعرف باسم ClayRat، تتنكر في شكل تطبيقات وخدمات واسعة الانتشار.
وتتخفى البرمجية داخل ملفات APK مزيفة تحمل واجهات مألوفة لخدمات وتطبيقات تواصل مثل جوجل فوتو، تيك توك، واتساب، و يوتيوب، مما يصعّب على المستخدم العادي اكتشاف الخطر.
ويتم توزيع هذه النسخ المزيفة خارج متجر Google Play، تحديداً عبر قنوات Telegram ومواقع تصيد إلكتروني مصممة لخداع المستخدمين.
ووفقاّ للتقارير، تتركّز الحملة حالياً على المستخدمين في روسيا.
قدرات التجسس والانتشار
ـ تستغل البرمجية الخبيثة صلاحيات النظام لتصبح “معالج الرسائل النصية الافتراضي”، مما يمنحها قدرة على الوصول إلى الرسائل النصية وسجلات المكالمات دون إذن واضح.
– تلتقط صوراً من الكاميرا الأمامية دون علم المستخدم.
– ترسل روابط خبيثة تلقائياً إلى جهات الاتصال، مما يحوّل كل جهاز مصاب إلى نقطة انطلاق لهجمات جديدة.
تقنيات التخفي والتشفير
– تعتمد على تشفير AES-GCM وترميز Base64 لإخفاء حركة البيانات.
– تُخزن البيانات مؤقتاً في ملفات داخل الجهاز قبل إرسالها إلى خوادم التحكم.
– تستخدم علامات مخصصة مثل “apezdolskynet” لتجاوز أنظمة الكشف.
حجم الانتشار
رُصدت أكثر من 600 نسخة مختلفة من البرمجية خلال فترة قصيرة.
وتم اكتشاف 50 نوعاً من أدوات التنزيل (droppers)، كل منها يستخدم أسلوباً مختلفاً في التثبيت والتخفي.
توصيات أمنية
يوصي الخبراء بإجراءات عدة لتقليل احتمالية التعرض لمخاطر البرمجية الخبيثة المذكورة، منها:
– عدم تنزيل التطبيقات من خارج متجر Google Play.
– تجنب الروابط المشبوهة على منصات التواصل، خاصة تلك التي تروّج لتطبيقات شهيرة.
– استخدم أدوات حماية موثوقة، وتفعيل ميزة Google Play Protect.
– مراقبة صلاحيات التطبيقات المثبتة والتحقق من أي نشاط غير معتاد.
المصادر
Cybersecurity News
Xcitium Threat Labs
